Telemarketing, patronati, giochi on line sotto la lente del Garante

16/9/2016
Docweb Display
NEWSLETTER N. 419 del 15 settembre 2016
• Telemarketing, patronati, giochi on line sotto la lente del Garante • Lavoro: no al controllo indiscriminato di e­mail e navigazione Internet • Sky, sì agli spot "mirati" ma l'utente potrà dire "no" Telemarketing, patronati, giochi on line sotto la lente del Garante
Nel primo semestre 2016 1 mln e 900 mila euro di sanzioni riscosse e oltre
2.000 sanzioni contestate
Il telemarketing e l'attività dei call center; i trattamenti dei dati effettuati dai
patronati relativamente al 730 precompilato; le concessionarie di giochi on
line; alcuni sistemi informativi dell'Istat; le società che si occupano di
ristrutturazione del debito. Sono questi alcuni dei settori che verranno
interessati dall'attività di accertamento del Garante per la protezione dei
dati personali nei prossimi mesi. Nelle scorse settimane l'Autorità ha varato
il piano ispettivo per il secondo semestre 2016 che prevede nuovi ambiti di
intervento [doc. web n. 5408359].
L'attività ispettiva verrà svolta anche in collaborazione con il Nucleo
speciale privacy della Guardia di finanza. Proprio di recente è stato firmato
il nuovo protocollo di intesa che rafforza l'attività di collaborazione tra la
Guardia di Finanza e il Garante.
Oltre che i settori ricordati, le ispezioni riguarderanno, come di prassi,
anche le istruttorie avviate su segnalazioni, reclami e ricorsi dei cittadini; la verifica dell'obbligo di notificazione; il rispetto delle norme
sull'informativa e il consenso; l'adozione delle misure minime di sicurezza
a protezione dei dati sensibili trattati da soggetti pubblici e privati.
Per quanto riguarda il primo semestre 2016, intanto, l'attività del Garante
ha segnato un significativo incremento dell'attività sanzionatoria. Le
somme già riscosse dall'erario sono state pari a circa 1 milione e 900 mila
euro (con un aumento del 5% rispetto al primo semestre 2015). Le sanzioni
contestate sono state oltre 2.000 (con un aumento del 44% rispetto al
primo semestre dello scorso anno). 37 sono state le segnalazioni
all'autorità giudiziaria (+ 85% rispetto al primo semestre 2015) che hanno
riguardato soprattutto casi di mancata adozione delle misure minime di
sicurezza, le violazioni connesse al controllo a distanza dei lavoratori,
l'inosservanza dei provvedimenti del Garante. Per quanto riguarda le
misure minime di sicurezza sono state impartite complessivamente 26
prescrizioni, tra soggetti pubblici e privati.
Gli accertamenti, svolti anche con il contributo delle Unità Speciali della
Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e
delicati settori: le grandi banche dati pubbliche (Agenzia delle entrate,
Inps); il trasferimento dei dati in Paesi extra Ue da parte delle
multinazionali; le società di car sharing (in particolare sui dati di
http://www.garanteprivacy.it/web/guest/home/docweb/­/docweb­display/print/5415401
1/3
16/9/2016
Docweb Display
geolocalizzazione dei clienti); i Caf; il marketing telefonico; la profilazione
effettuata dalle società di ricerca del personale; gli investigatori privati; le
concessionarie di autovetture (sull'uso dei dati delle persone disabili).
Nel settore pubblico le criticità maggiori riscontrate sono quelle legate alla
diffusione illecita di dati, soprattutto da parte delle amministrazioni
comunali, mentre nel settore privato le violazioni più frequenti riguardano l'omessa o inidonea informativa ai clienti sull'uso dei dati, la mancata
raccolta del consenso, l'inadeguatezza o la mancanza di misure minime di
sicurezza, l'omessa notificazione al Garante.
Lavoro: no al controllo indiscriminato di e­mail e navigazione Internet
Verifiche indiscriminate sulla posta elettronica e sulla navigazione web del
personale sono in contrasto con il Codice della privacy e con lo Statuto dei
lavoratori. Questa la decisione adottata dal Garante [doc. web n. 5408460],
che ha vietato a un'università il monitoraggio massivo delle attività in
Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del
personale tecnico­amministrativo e docente, che lamentava la violazione
della propria privacy e il controllo a distanza posto in essere dall'Ateneo.
Nel corso dell'istruttoria, l'amministrazione ha respinto le accuse,
sostenendo che l'attività di monitoraggio delle comunicazioni elettroniche
era attivata saltuariamente, e solo in caso di rilevamento di software
maligno e di violazioni del diritto d'autore o di indagini della magistratura.
L'Università aveva inoltre aggiunto che non venivano trattati dati personali dei dipendenti che si connettevano alla rete. L'istruttoria del Garante ha
invece evidenziato che i dati raccolti erano chiaramente riconducibili ai
singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip
(indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc
assegnati ai dipendenti.
L'infrastruttura adottata dall'Ateneo, diversamente da quanto affermato,
consentiva poi la verifica costante e indiscriminata degli accessi degli
utenti alla rete e all'e­mail, utilizzando sistemi e software che non possono
essere considerati, in base alla normativa, "strumenti utilizzati dal
lavoratore per rendere la prestazione lavorativa". Tali software, infatti, non
erano necessari per lo svolgimento della predetta attività ed operavano,
peraltro, in background, con modalità non percepibili dall'utente. E' stato
così violato lo Statuto dei lavoratori ­ anche nella nuova versione
modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza
prevede l'adozione di specifiche garanzie per il lavoratore.
Nel provvedimento il Garante ha rimarcato che l'Università avrebbe dovuto
privilegiare misure graduali che rendessero assolutamente residuali i
controlli più invasivi, legittimati solo in caso di individuazione di
specifiche anomalie, come la rilevata presenza di virus. In ogni caso, si
sarebbero dovute prima adottare misure meno limitative per i diritti dei
lavoratori.
L'Autorità ha infine riscontrato che l'Università non aveva fornito agli
utilizzatori della rete un'idonea informativa privacy, tale non potendosi
ritenere la mera comunicazione al personale del Regolamento relativo al
corretto utilizzo degli strumenti elettronici, violando così il principio di liceità
alla base del trattamento dei dati personali. L'Autorità ha quindi dichiarato
illecito il trattamento dei dati personali così raccolti e ne ha vietato l'ulteriore
uso, imponendo comunque la loro conservazione per consentirne
l'eventuale acquisizione da parte della magistratura.
Sky, sì agli spot "mirati" ma l'utente potrà dire "no"
Sky potrà utilizzare i dati dei propri utenti per inviare spot pubblicitari
"mirati" a spettatori di uno stesso programma, ma solo in forma aggregata. L'utente che non intende ricevere questi spot potrà però opporsi in modo
semplice, anche usando il telecomando. Lo ha stabilito il Garante privacy
http://www.garanteprivacy.it/web/guest/home/docweb/­/docweb­display/print/5415401
2/3
16/9/2016
Docweb Display
accogliendo una richiesta di verifica preliminare presentata da Sky e
relativa alla realizzazione di un progetto mediante il quale la società
intende veicolare altri messaggi pubblicitari, al posto di quelli standard, a
gruppi differenti di spettatori ciascuno dei quali con caratteristiche ben
definite [doc. web n. 5408313].
Destinatari della pubblicità i nuclei familiari in possesso di uno specifico
apparecchio per la ricezione da satellite o via internet, raggruppati in
appositi cluster in base a caratteristiche relative al servizio fruito (ad es.,
tipologia del "pacchetto" tv, durata dell'abbonamento, modalità di
pagamento) e ad altre informazioni (fascia di età, luogo di residenza). Alla società l'Autorità ha impartito alcune prescrizioni per innalzare i livelli di riservatezza.
Sky dovrà, in particolare, consentire a coloro che non intendono aderire al
progetto, di potersi opporre in modo agevole: digitando "no" sul
telecomando, spuntando una apposita casella nella sezione dedicata agli
utenti registrati nel sito della società, oppure inviando una comunicazione,
anche via email, alla società o interagendo con il call center. Sky, inoltre,
dovrà informare gli utenti delle finalità che intende perseguire con questo
progetto; spiegare loro le modalità impiegate per assicurare l'uso dei dati in
forma aggregata, tali da non essere riconducibili ai singoli abbonati;
avvisarli della possibilità di esercitare i diritti riconosciuti dalla normativa in
materia di protezione dei dati (accesso ai dati, rettifica, cancellazione,
opposizione al trattamento).
L'informativa potrà essere resa in forma sintetica mediante un cartello che
apparirà a video alla prima accensione dopo l'aggiornamento del software
e che dovrà rimandare ad una pagina web, reperibile facilmente e in ogni
momento. Nell'informativa, oltre a fornire le informazioni sui diritti degli
utenti, Sky dovrà descrivere il progetto nel dettaglio. Il messaggio dovrà
essere ripetuto più volte e con modalità tali da assicurarne la visibilità a più
componenti della stessa famiglia.
L'ATTIVITÁ DEL GARANTE ­ PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati
dall'Autorità
Ragazza suicida per video hard: dichiarazione di Antonello Soro,
Garante della privacy ­ 14 settembre 2014
NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre
2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 ­
00186 Roma.
Tel: 06.69677.2752 ­ Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it
http://www.garanteprivacy.it/web/guest/home/docweb/­/docweb­display/print/5415401
3/3